A Ransom.JM trójai a zsaroló kártékony programok közé tartozik. Hasonlóan az elődeihez ez is egy teljes képernyős üzenetablakot jelenít meg, amelyen orosz nyelven közli a felhasználóval, hogy 15 dollárt kell fizetnie azért, hogy ismét használni tudja a számítógépét, és hozzá tudjon férni a dokumentumaihoz.
Az Isidor Biztonsági Központ jelentéséből kiderül a Ransom.JM mindössze egy fájlt hoz létre a számítógépeken, és egy bejegyzéssel egészíti ki a regisztrációs adatbázist. Ezáltal a trójai a Windows csökkentett módú újraindítását követően viszonylag könnyedén eltávolítható a rendszerből.
A Trend Micro kutatói szerint a Ransom.JM trójai esetében a ""TNMTTF" kód alkalmazható a rendszer zárolásának feloldásához, azonban ez csak a Windows következő újraindításáig hatásos a kártékony program maradéktalan eltávolítása nélkül.
Amikor a Ransom.JM trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő mappát:
%User Profile%\161933172
2. Létrehozza az alábbi fájlt:
%User Profile%\161933172\161933172.exe
3. A regisztrációs adatbázishoz hozzáfűzi a következő értéket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ZDF161933172AWrt161933172AdsWrt161933172aAdsWrtenZDF161933172_1619331720 = %User Profile%\161933172\161933172.EXE"
4. Megjelenít egy kék háttérszínű, orosz nyelvű üzenetet tartalmazó ablakot.
5. Megpróbálja blokkolni a Windows további használatát.
6. Egy feloldó kódot kér a Windows használhatóvá tételéhez.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.